Descripción del esquema de búsqueda avanzada
Se aplica a:
- Microsoft Defender XDR
Importante
Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
El esquema de búsqueda avanzada se compone de varias tablas que proporcionan información de eventos o información sobre dispositivos, alertas, identidades y otros tipos de entidad. Para crear consultas eficaces que abarquen varias tablas, debe comprender las tablas y las columnas del esquema de búsqueda avanzada.
Obtener información de esquema
Al crear consultas, use la referencia de esquema integrada para obtener rápidamente la siguiente información sobre cada tabla del esquema:
- Descripción de las tablas: tipo de datos contenidos en la tabla y el origen de esos datos.
- Columnas: todas las columnas de la tabla.
-
Tipos de acción: valores posibles en la
ActionTypecolumna que representan los tipos de evento admitidos por la tabla. Esta información solo se proporciona para las tablas que contienen información de eventos. - Consulta de ejemplo: consultas de ejemplo que incluyen cómo se puede usar la tabla.
Acceso a la referencia de esquema
Para acceder rápidamente a la referencia de esquema, seleccione la acción Ver referencia junto al nombre de la tabla en la representación del esquema. También puede seleccionar Referencia de esquema para buscar una tabla.
Obtenga información sobre las tablas de esquema
A continuación se enumeran todas las tablas del esquema. Cada nombre de tabla está vinculado a una página donde se describen los nombres de las columnas de esa tabla. Los nombres de tabla y columna también se enumeran en Microsoft Defender XDR como parte de la representación de esquema en la pantalla de búsqueda avanzada.
| Nombre de tabla | Descripción |
|---|---|
| AADSignInEventsBeta | Microsoft Entra inicios de sesión interactivos y no interactivos |
| AADSpnSignInEventsBeta | Microsoft Entra entidad de servicio e inicios de sesión de identidad administrada |
| AlertEvidence | Archivos, direcciones IP, direcciones URL, usuarios o dispositivos asociados a alertas |
| AlertInfo | Alertas de Microsoft Defender para punto de conexión, Microsoft Defender para Office 365, Microsoft Defender for Cloud Apps y Microsoft Defender for Identity, incluida la información de gravedad y la categorización de amenazas |
| BehaviorEntities (versión preliminar) | Tipos de datos de comportamiento en Microsoft Defender for Cloud Apps |
| BehaviorInfo (versión preliminar) | Alertas de Microsoft Defender for Cloud Apps |
| CloudAppEvents | Eventos relacionados con cuentas y objetos en Office 365 y otras aplicaciones y servicios en la nube |
| DeviceEvents | Varios tipos de eventos, incluidos los eventos desencadenados por controles de seguridad, como Microsoft Defender Antivirus y protección contra vulnerabilidades de seguridad |
| DeviceFileCertificateInfo | Información de certificados de archivos firmados obtenidos de los eventos de comprobación de certificados en puntos de conexión |
| DeviceFileEvents | Creación y modificación de archivos y otros eventos del sistema de archivos |
| DeviceImageLoadEvents | Eventos de carga de DLL |
| DeviceInfo | Información del equipo, incluida la información del sistema operativo |
| DeviceLogonEvents | Inicios de sesión y otros eventos de autenticación en dispositivos |
| DeviceNetworkEvents | Conexión de red y eventos relacionados |
| DeviceNetworkInfo | Propiedades de red de dispositivos, incluyendo adaptadores físicos, direcciones IP y MAC, así como redes y dominios conectados |
| DeviceProcessEvents | Creación de procesos y eventos relacionados |
| DeviceRegistryEvents | Creación y modificación de entradas de Registro |
| DeviceTvmHardwareFirmware | Información de hardware y firmware de los dispositivos según lo comprobado por Administración de vulnerabilidades de Defender |
| DeviceTvmInfoGathering | Administración de vulnerabilidades de Defender eventos de evaluación, incluidos los estados de área expuesta a ataques y configuración |
| DeviceTvmInfoGatheringKB | Metadatos para eventos de evaluación recopilados en la DeviceTvmInfogathering tabla |
| DeviceTvmSecureConfigurationAssessment | Administración de vulnerabilidades de Microsoft Defender eventos de evaluación, que indican el estado de varias configuraciones de seguridad en los dispositivos |
| DeviceTvmSecureConfigurationAssessmentKB | Base de conocimiento de varias configuraciones de seguridad usadas por Administración de vulnerabilidades de Microsoft Defender para evaluar dispositivos; incluye asignaciones a diversos estándares y pruebas comparativas |
| DeviceTvmSoftwareEvidenceBeta | Información de evidencia sobre dónde se detectó un software específico en un dispositivo |
| DeviceTvmSoftwareInventory | Inventario del software instalado en dispositivos, incluida la información de la versión y el estado de finalización del soporte técnico |
| DeviceTvmSoftwareVulnerabilities | Vulnerabilidades de software encontradas en los dispositivos y lista de actualizaciones de seguridad disponibles que abordan cada vulnerabilidad |
| DeviceTvmSoftwareVulnerabilitiesKB | La base de conocimiento de vulnerabilidades de la que se ha informado públicamente, incluyendo si el código que aprovecha la vulnerabilidad está disponible para el público |
| EmailAttachmentInfo | Información sobre los archivos adjuntos a los correos electrónicos |
| EmailEvents | Eventos de correo electrónico de Microsoft 365, incluidos los eventos de bloqueo y entrega de correo electrónico |
| EmailPostDeliveryEvents | Eventos de seguridad que se producen después de la entrega, después de que Microsoft 365 entregue los correos electrónicos al buzón de correo del destinatario. |
| EmailUrlInfo | Información sobre las direcciones URL de los correos electrónicos |
| ExposureGraphEdges | Administración de exposición de seguridad Microsoft información perimetral del gráfico de exposición proporciona visibilidad sobre las relaciones entre entidades y recursos en el gráfico |
| ExposureGraphNodes | Administración de exposición de seguridad Microsoft información del nodo del gráfico de exposición, sobre las entidades organizativas y sus propiedades |
| IdentityDirectoryEvents | Eventos que implican un controlador de dominio local que ejecuta Active Directory (AD). En esta tabla se describen una serie de eventos relacionados con la identidad y eventos del sistema en el controlador de dominio. |
| IdentityInfo | Información de la cuenta de varios orígenes, incluidos los Microsoft Entra ID |
| IdentityLogonEvents | Eventos de autenticación en Active Directory y en servicios en línea de Microsoft |
| IdentityQueryEvents | Consultas sobree objetos de Active Directory, como usuarios, grupos, dispositivos y dominios |
| UrlClickEvents | Vínculos seguros hace clic desde mensajes de correo electrónico, Teams y aplicaciones Office 365 |
Temas relacionados
- Información general sobre la búsqueda avanzada de amenazas
- Aprender el lenguaje de consulta
- Trabajar con resultados de consulta
- Usar consultas compartidas
- Buscar entre dispositivos, correos electrónicos, aplicaciones e identidades
- Aplicar procedimientos recomendados de consulta
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.